Carrier-grade NAT (CGN), também conhecido como NAT em larga escala (LSN), é uma abordagem ao design de rede IPv4 em que os pontos finais, em particular as redes residenciais, estão configurados com endereços de rede privada que são traduzidos para endereços IPv4 públicos por dispositivos middleboxes tradutores de endereço de rede (NATs) incorporados na rede do provedor de rede, permitindo o compartilhamento de pequenos pools de endereços públicos entre muitos sites finais. Isso transfere a função NAT e sua configuração das instalações do cliente para a rede do provedor de serviços da Internet.

Carrier Grade NAT.

O Carrier-grade NAT foi proposto como uma abordagem para mitigar o esgotamento dos endereços IPv4.[1]

Um cenário de uso do CGN foi rotulado como NAT444,[2] porque algumas conexões de clientes com serviços de Internet na Internet pública passariam por três domínios de endereçamento IPv4 diferentes: a rede privada do consumidor, a rede privada do provedor e a Internet pública.

Outro cenário de uso do CGN é o Dual-Stack Lite, em que a rede da operadora usa IPv6 e, portanto, apenas dois domínios de endereçamento IPv4 são necessários.

Espaço de endereço compartilhado

editar

Se um provedor de Internet implantar um CGN, e usa o espaço de endereços do RFC 1918 para numerar gateways de clientes, o risco de colisão de endereço e, portanto, falhas de roteamento, surge quando a rede de clientes já usa um espaço de endereço do RFC 1918.

Isso levou alguns provedores a desenvolver uma política dentro do Registro Americano para Números da Internet (ARIN) para alocar novo espaço de endereço privado para CGNs, mas o ARIN diferiu para o IETF antes de implementar a política indicando que o assunto não era uma questão típica de alocação, mas uma reserva de endereços para fins técnicos (no RFC 2860).

O IETF publicou o RFC 6598, detalhando um espaço de endereço compartilhado para uso em implementações do CGN do provedor que podem manipular os mesmos prefixos de rede que ocorrem tanto nas interfaces de entrada quanto de saída. O ARIN devolveu o espaço de endereço ao Internet Assigned Numbers Authority (IANA) para essa alocação.[3] O bloco de endereço atribuído é o 100.64.0.0/10.[4]

Problemas

editar

Os dispositivos que avaliam se um endereço IPv4 é público devem ser atualizados para reconhecer o novo espaço de endereço. Alocar mais espaço de endereço IPv4 privado para dispositivos NAT pode prolongar a transição para o IPv6.

Desvantagens

editar

Os críticos do Carrier-grade NAT argumentam os seguintes aspectos:

  • Como qualquer forma de NAT, ele quebra o princípio de transporte ponta-a-ponta.[5]
  • Ele tem problemas significativos de segurança, escalabilidade e confiabilidade, em virtude de ser stateful.
  • Ele torna a operação de gravação de registros para as operações de aplicação da lei impossível, a menos que todo o conteúdo da comunicação seja registrado.
  • Ele impossibilita a hospedagem de serviços.
  • Ele não resolve o problema de exaustão de endereços IPv4 quando um endereço IP público é necessário, como em hospedagem de sites.

O Carrier-grade NAT geralmente impede que os clientes do provedor de rede usem o redirecionamento de portas, porque a tradução do endereço de rede (NAT) geralmente é implementado por mapeamento de portas dos dispositivos NAT na rede para outras portas na interface externa. Isso é feito para que o roteador possa mapear as respostas para o dispositivo correto; em redes onde o Carrier-grade NAT é usado, mesmo que o roteador instalado no cliente possa ser configurado para fazer o redirecionamento da porta, o "roteador mestre" do provedor, que executa o CGN, bloqueará este redirecionamento de porta porque a porta real do CGN não seria a porta configurada pelo consumidor.[6] Para superar essa desvantagem anteriormente citada, o Protocolo de Controle de Portas (PCP) foi padronizado na RFC 6887.

Em casos raros de banimento de tráfego com base em endereços IP, o sistema pode bloquear o tráfego de um usuário que dissemina spam ao banir o endereço IP do usuário. Se esse usuário estiver por trás de um Carrier-grade NAT, outros usuários que compartilhem o mesmo endereço público com o spammer serão bloqueados por engano.[6]

Ver também

editar

Referências

Ligações externas

editar